Trois médias américains ont déposé plainte vendredi dernier contre le FBI. Ils veulent obtenir les détails d’un achat réalisé plus tôt dans l’année : une faille de sécurité permettant de débloquer un iPhone 5c obtenu dans le cadre d’une enquête.
Rappel des faits. En décembre 2015, Syed Rizwan Farook et sa femme provoquent une tuerie à San Bernardino. Ils assassinent 14 personnes devant un centre commercial en tirant sur les passants. Ils sont abattus peu après par les forces de l’ordre. Dans l’enquête qui suit, le FBI récupère l’iPhone 5c de Farook mais se heurte rapidement à un mur.
Le mur du chiffrement
Les enquêteurs souhaitent accéder au contenu, mais il est chiffré. La clé utilise le code de verrouillage à quatre chiffres comme composante, rendant l’obtention du code nécessaire. Le FBI demande de manière répétée à Apple de déchiffrer l’appareil, ce que la firme refuse : n’ayant pas accès au code, elle ne peut elle-même accéder au contenu. Le FBI réclame alors la création d’un outil permettant de contourner la protection, démarrant un véritable feuilleton dans lequel l’un et l’autre vont produire de nombreux arguments.
Le FBI finit par déposer plainte contre Apple pour obliger la firme à produire ledit outil. La tension monte pendant plusieurs semaines, jusqu’à ce que l’agence américaine arrête tout : elle vient de trouver un autre moyen d’accéder aux données. Elle indique qu’un groupe de personnes s’est présenté de lui-même en affirmant être en mesure de casser le chiffrement de l’iPhone. Peu de temps après, le FBI confirme que la méthode est fonctionnelle, créant rapidement des soupçons autour d’une ou plusieurs failles. James Comey, directeur du bureau, confirmera quelques jours plus tard qu’il s’agissait bien d’une vulnérabilité, monnayée au moins 1,3 million de dollars.
Mais qui donc a vendu la faille de sécurité ?
S’est ouvert alors une période où les rôles se sont inversés. Apple a en effet réclamé au FBI les détails de la faille : la perspective d’une brèche dans sa sécurité, potentiellement exploitable sur d’autres modèles, représentait une épée de Damoclès. Surtout pour un constructeur qui a fait du respect de la vie privée l’un de ses chevaux de bataille. Pour le FBI, pas question de donner les détails. La réutilisation dans d’autres enquêtes était un facteur primordial.
Cette guerre a attiré de nombreux regards. Trois organes américains de presse ont en particulier cherché à en savoir beaucoup plus. The Associated Press, USA Today et Vice Media ont déposé séparément des demandes d’obtention des détails sur l’accord passé par le FBI avec le groupe qui lui a vendu la faille de sécurité. Basées sur la loi Freedom of Information Act (FOIA), ces requêtes visaient à ouvrir au public les détails contractuels et financiers de l’accord. Point important, les trois médias ne demandaient pas d’informations sur le résultat technique de la méthode utilisée.
Nouvelle requête en tir groupé
Ces demandes ont toujours été rejetées. Mais vendredi, les trois mêmes entreprises sont une nouvelle fois passées à l’attaque, cette fois de manière groupée. À nouveau basée sur la FOIA, la plainte expose le raisonnement de ses auteurs : « Les informations autour de l’accord contractuel du FBI permettraient la transparence sur la manière dont les fonds publics sont utilisés. Connaître le montant que le FBI a estimé approprié de dépenser dans l’outil, ainsi que l’identité et la réputation du vendeur avec lequel il a fait affaire, est essentiel pour que le public supervise efficacement les fonctions gouvernementales et empêchent d’éventuelles inconvenances ».
Pour les plaignants, un public informé est une composante cruciale dans le débat actuel sur le paysage législatif américain autour de ces enquêtes. Quand le FBI tâchait en effet de forcer Apple à percer les défenses de son propre système, la firme répétait que le gouvernement dépassait ses prérogatives, une forme d’abus de pouvoir que la plainte aborde également. Depuis, le débat sur l’efficacité des lois reste pleinement ouvert dans le pays, les trois plaignants estimant que ces informations sont plus que pertinentes dans un tel cadre. Sans parler du débat tout aussi vaste sur la place du chiffrement.
De la valeur d'une faille
Reste qu’il n’y a aucune garantie que cette nouvelle demande, même groupée, puisse aboutir. Les trois requêtes précédentes ont toutes rencontré la même réponse du FBI : révéler ces informations mettrait en danger son pouvoir d’investigation. Rappelons également que toute faille de sécurité passant aux mains d’une émanation du gouvernement américain traverse un processus d’examen. S’il est estimé que la faille a plus de valeur secrète, ses détails ne pourront pas être transmis à l’éditeur correspondant, quoi qu’il puisse faire.
